Bendrinti naudojant

Serverio kriptografijos šifrus ir TLS reikalavimus

  • Straipsnis

Šifro paketas yra kriptografijos algoritmų rinkinys. Tai naudojama norint šifruoti pranešimus tarp klientų/serverių ir kitų serverių. Dataverse naudoja naujausius TLS 1.2 šifrų rinkinius, kuriuos patvirtino Microsoft "Crypto Board".

Prieš užmezgus saugų ryšį, protokolas ir šifras yra derinamas tarp serverio ir kliento, atsižvelgiant į abiejų pusių pasiekiamumą.

Galite naudoti savo patalpų/vietinius serverius siekiant integruoti su tolesniais „Dataverse“ paslaugomis:

  1. Sinchronizavimo el. laiškai iš jūsų apsikeitimo serverio.
  2. Siunčiamų papildinių vykdymas.
  3. Savųjų / vietinių klientų vykdymas siekiant pasiekti jūsų aplinkas.

Kad būtų laikomasi saugaus ryšio saugos strategijos, Jūsų serveryje turi būti:

  1. Transportavimo lygmens saugos (TLS) 1.2 atitiktis

  2. Bent vienas iš šių šifrų:

    „TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256”
    „TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384”
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    „TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256”
    „TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384”
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    Svarbu

    Senesni TLS 1.0 ir 1.1 bei šifrų rinkiniai (pvz., TLS_RSA) buvo nebenaudojami; žiūrėti skelbimą. Jūsų serveriai turi turėti ankstesnius saugumo protokolus siekiant tęsti „Dataverse“ paslaugų vykdymą.

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ir TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 gali pasirodyti kaip silpni, kai atlikote SSL ataskaitos testą. Taip yra dėl žinomų „OpenSSL“ įdiegties atakų. „Dataverse“ naudoja „Windows“ įdiegtį, kuri nėra pagrįsta „OpenSSL“, todėl ji nėra pažeidžiama.

    Galite naujinti „Windows“ versiją ar naujinti „Windows“ TLS registrą norėdami įsitikinti, kad jūsų serverio galinis taškas palaiko vieną iš šių šifrų.

    Norėdami patikrinti, ar jūsų serveris atitinka saugos protokolą, galite atlikti bandymą naudodami TLS šifro ir skaitytuvo įrankį:

    1. Patikrinkite savo pagrindinio kompiuterio vardą naudodami „SSLLABS” arba
    2. nuskaitykite savo serverį naudodami „NMAP”

  3. Įdiegti toliau nurodyti šakniniai CA sertifikatai. Įdiekite tik tuos, kurie atitinka jūsų debesies aplinką.

    Viešiesiems / PROD

    Sertifikavimo institucija Galiojimo pabaigos data Serijos numeris / kontrolinis kodas Atsisiųsti
    DigiCert Global Root G2 2038 m. sausio 15 d. 0x033af1e6a711a9a0bb2864b11d09fae5
    DF3C24F9BFD666761B268073FE06D1CC8D4F82A4    		 PEM
    DigiCert Global Root G3 2038 m. sausio 15 d. 0x055556bcf25ea43535c3a40fd5ab4572
    7E04DE896A3E666D00E687D33FFAD93BE83D349E    		 PEM
    Microsoft 2017 m. ECC šakninio sertifikato institucija 2042 m. liepos 18 d. 0x66f23daf87de8bb14aea0c573101c2ec
    999A64C37FF47D9FAB95F14769891460EEC4C3C5    		 PEM
    Microsoft RSA šakninio sertifikato institucija 2017 2042 m. liepos 18 d. 0x1ed397095fd8b4b347701eaabe7f45b3
    3A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74    		 PEM

    "Fairfax" / "Arlington" / JAV "Gov Cloud"

    Sertifikavimo institucija Galiojimo pabaigos data Serijos numeris / kontrolinis kodas Atsisiųsti
    DigiCert Global Root CA 2031 m. lapkričio 10 d. 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert SHA2 Secure Server CA 2030 m. rugsėjo 22 d. 0x02742eaa17ca8e21c717bb1ffcfd0ca0
    626D44E704D1CEABE3BF0D53397464AC8080142C    		 PEM
    DigiCert TLS Hybrid ECC SHA384 2020 CA1 2030 m. rugsėjo 22 d. 0x0a275fe704d6eecb23d5cd5b4b1a4e04
    51E39A8BDB08878C52D6186588A0FA266A69CF28    		 PEM

    "Mooncake" / "Gallatin" / "China Gov Cloud"

    Sertifikavimo institucija Galiojimo pabaigos data Serijos numeris / kontrolinis kodas Atsisiųsti
    DigiCert Global Root CA 2031 m. lapkričio 10 d. 0x083be056904246b1a1756ac95991c74a
    A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436    		 PEM
    DigiCert Basic RSA CN CA G2 2030 m. kovo 4 d. 0x02f7e1f982bad009aff47dc95741b2f6
    4D1FA5D1FB1AC3917C08E43F65015E6AEA571179    		 PEM

    Kodėl toks poreikis?

    See TLS 1.2 standartų dokumentacija – skyrius 7.4.2 – sertifikatų sąrašas.

Dataverse Kodėl SSL/TLS sertifikatai naudoja pakaitos simbolius?

Pakaitos simbolių SSL / TLS sertifikatai yra suprojektuoti, nes šimtai organizacijos URL turi būti pasiekiami iš kiekvieno pagrindinio serverio. SSL / TLS sertifikatai su šimtais temų alternatyvių vardų (SAN) daro neigiamą poveikį kai kuriems žiniatinklio klientams ir naršyklėms. Tai yra infrastruktūros apribojimas, pagrįstas programinės įrangos kaip paslaugos (SAAS) pasiūlymo pobūdžiu, kuriame yra kelios klientų organizacijos bendros infrastruktūros rinkinyje.

Taip pat žr.

Prisijungimas prie "Exchange Server" (vietinis)
Dynamics 365 Sinchronizavimas serveryje
"Exchange" serverio TLS rekomendacijos
Šifro paketai TLS / SSL (Schannel SSP)
Transportavimo sluoksnis saugos (TLS) valdymas
Kaip įjungti TLS 1.2